FTC
美国贸易委员会(FTC)周三控告路由器大厂友讯(D-Link)生产的无线路由器及IP摄影机安全防护不足可能遭骇,导致美国消费者资讯隐私受到侵害。?FTC向加州北区法院提出告诉,表示友讯未採取合理的安全性措施来确保其路由器及连网摄影机,使消费者的敏感资讯,包括摄影机录製的影音讯息可能遭骇客取得。?根据FTC的起诉文件,友讯网站上虽然以标题为「轻鬆防护(Easy to Secure)」及「进阶网路安全性(Advanced Network Security)」的行销文件标榜其路由器的产品安全性,但该公司的产品却有种种常见且防护也不难的安全瑕疵。
像是友讯相机软体整合写死(hard-coded)的登入验证资讯,可能导致未授权存取。指令注入(command injection)软体漏洞让远端攻击者可传送未授权指令而取得路由器控制权; D-Link软体的登入私有金钥码处置不当,像是暴露于公开网站上长达6个月;以及用户登入验证资料明明有免费防护软体而不用,却使其以可读取的明码形式留存行动装置的app上。?
FTC表示,这些弱点骇客用很简单的方法就能入侵,像是经由有漏洞的路由器取得消费者退税资料或装置上的其他档案,再将消费者导向诈欺网站,或是透过该路由器攻击同一区域上的其他上装置,如手机、IP摄影机或连网装置等。或利用问题相机监看消费者动向藉机窃取或犯案,或是录下其个人活动及交谈内容。?FTC表示,本案是美国政府在物联网(IoT)时代加强消费者隐私及安全保护行为的一环。FTC消费者防护局主任Jessica Rich指出,家用路由器及IP摄影机愈来愈常成为骇客攻击目标,导致消费者敏感个人资讯被取得及外洩,当厂商告诉消费者他们的设备是安全时,就必须採取必要措施确保这些宣称的真实性。?不过友讯透过公开声明否认上述指控,「我们向来将产品安全性以及顾客隐私资料的防护列为首要任务。」该公司并表示準备提出抗告。?因应物联网(IoT)产品的普及及伴随而来的安全风险,FTC曾在2015年对IoT产品业者颁布安全指导原则。FTC也在2014年及2016年初分别对TRENDNet及华硕提出类似告诉,两家公司后来相继和FTC达成和解,其中华硕以改善产品及接受20年稽核换取和解。
?
I 相关 / Other
示意图,与新闻事件无关。 图片来源: FDA 美国食品暨药物管理局(Food and Drug Administration,FDA)上周发表了《医疗装置上市后的网路安全管理準则》 (Postmarket Management of Cybersecurity in Medical Dev
俄罗斯对全球发动的资讯战疑云不但引起美国大动作反制,近年来与俄罗斯间大小冲突不断的乌克兰,也表示该国的政府机构在过去两个月内,至少遭受来自俄罗斯的6,500次骇客攻击,显然已经对乌克兰发动网路战争。乌克兰总
小米参与投资的网路银行「四川新网银行」(Sichuan XW Bank)周三宣布正式完成首次股东会及成立大会,并于近日内上线。新网银行原名「希望银行」,是由小米旗下子公司银米科技及7家四川企业,包括新希望集团、红旗及
示意图,与新闻事件无关。 图片来源: 亚太电信 亚太电信因借用台湾大哥大网路曾在国内电信市场引发不小的风波,遭NCC多次开罚要求改善,本周NCC第四次加重开罚,亚太、台湾大各罚240万元。亚太电信在2014年底宣布4
图片来源: 中国网信网 中国国家互联网信息办公室下的中央网络安全与信息化领导小组周二颁布《国家网路空间安全战略》,声明网路安全已成国家主权新疆域,并将防範网路资料窃取、网路恐怖主义及散布不当内容等活动。?